Kişisel Verilerin Yurt Dışına Aktarımında Yeni Dönem

10 Temmuz 2024 tarihinde Resmî Gazete'de yayımlanan "Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik", kişisel verilerin yurt dışına aktarılmasına yönelik düzenlemeleri kapsamaktadır.

Kişisel Verilerin Yurt Dışına Aktarılma Usulleri

Yönetmeliğin 5. ve 6. maddelerinde kişisel verilerin yurt dışına aktarılma usulleri belirlenmiştir. Kişisel veriler, veri sorumlusu ve veri işleyen tarafından ancak Kanun ve yönetmelikte öngörülen usul ve esaslara uygun olarak yurt dışına aktarılabilir. Yurt dışına aktarım için öncelikli olarak yeterlilik kararı bulunması gerekmektedir. Yeterlilik kararı bulunmayan durumlarda, ilgili kişinin haklarını kullanabilmesi ve etkili kanun yollarına başvurabilmesi kaydıyla uygun güvenceler sağlanarak veri aktarımı yapılabilir.

Yeterlilik Kararına Dayalı Aktarımlar

Yönetmeliğin 8. ve 9. maddelerinde yeterlilik kararına dayalı aktarımlar düzenlenmiştir. Kişisel Verileri Koruma Kurulu, kişisel verilerin aktarılacağı ülke veya uluslararası kuruluş hakkında yeterli düzeyde koruma sağladığına karar verebilir. Bu karar, en geç dört yılda bir yeniden değerlendirilir ve gerektiğinde ileriye etkili olmak üzere değiştirilebilir, askıya alınabilir veya kaldırılabilir.

Uygun Güvencelere Dayalı Aktarımlar

10. maddede uygun güvencelere dayalı aktarımlar açıklanmıştır. Yeterlilik kararı bulunmayan durumlarda, uluslararası sözleşme niteliğinde olmayan anlaşmalar, bağlayıcı şirket kuralları, standart sözleşmeler veya taahhütnameler aracılığıyla uygun güvenceler sağlanarak veri aktarımı gerçekleştirilebilir. Bu güvenceler, kişisel verilerin korunması ve ilgili kişinin haklarını koruma amacı taşır.

Bağlayıcı Şirket Kurallarında Bulunması Gereken Hususlar: Yönetmeliğin 13. maddesi, bağlayıcı şirket kurallarında bulunması gereken asgari hususları belirlemektedir. Bu kurallar, ortak ekonomik faaliyette bulunan teşebbüs grubunun her üyesi için hukuken bağlayıcı ve uygulanabilir olmalıdır. Ayrıca, kişisel veri kategorileri, işleme faaliyeti ve amaçları, ilgili kişi grubu veya grupları ve aktarımın yapılacağı ülke veya ülkeler gibi konuları içermelidir. İlgili kişilerin haklarının kullanılabileceğine dair taahhütler ve veri koruma denetimlerine ilişkin mekanizmalar da bu kurallar arasında yer almalıdır.

Standart Sözleşmeyle Uygun Güvencenin Sağlanması: Yönetmeliğin 14. maddesi, standart sözleşmelerin veri aktarımına uygun güvence sağlamak için kullanılabileceğini belirtmektedir. Standart sözleşmeler, Kurul tarafından belirlenerek ilan edilen ve veri kategorileri, veri aktarımının amaçları, alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler gibi hususları içeren metinlerdir. Bu sözleşmelerde herhangi bir değişiklik yapılmaksızın kullanılması zorunludur ve taraflarca veya tarafları temsile yetkili kişilerce imzalanmalıdır.

Taahhütnameyle Uygun Güvencenin Sağlanması: Yönetmeliğin 15. maddesi, taahhütname yoluyla uygun güvence sağlanabileceğini düzenlemektedir. Taahhütnamede, kişisel verilerin korunmasına yönelik hükümler bulunmalı ve aktarımın amacı, kapsamı, niteliği ve hukuki sebebi gibi konular açıkça belirtilmelidir. Ayrıca, veri güvenliği düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınacağına dair taahhütler içermelidir. Taahhütnameye dayanarak veri aktarımı yapılabilmesi için veri aktaran tarafından Kurul'a izin başvurusunda bulunulması gerekmektedir.

İstisnai Aktarımlar

Yönetmeliğin 16. maddesinde, yeterlilik kararı ve uygun güvenceler sağlanamayan durumlarda uygulanabilecek istisnai aktarım halleri düzenlenmiştir. Bu haller, aktarımın ilgili kişi yararına veya kamu yararı için zorunlu olması gibi durumları kapsamaktadır. İstisnai aktarımlar, düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar olarak tanımlanmıştır.

Sonuç

Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik, kişisel verilerin yurt dışına aktarılması sürecinde veri sorumluları ve veri işleyenler için önemli yükümlülükler getirmektedir. Yönetmelik, kişisel verilerin korunması ve ilgili kişilerin haklarının korunması amacıyla detaylı düzenlemeler içermektedir. Kişisel verilerin yurt dışına aktarımı sürecinde, yönetmelikte belirtilen usul ve esaslara uyulması, veri güvenliği ve hukuki sorumluluklar açısından büyük önem taşımaktadır.

Autor: Müge Şengönül